[비즈니스포스트] 인공지능(AI)이 기업 보안의 기존 방어 체계를 흔들고 있다.

미국 클라우드 보안기업 클라우드플레어는 최근 앤트로픽의 차세대 AI 모델 '미토스'를 활용한 보안 실험 결과를 공개했다.

실험 결과 미토스는 개별적으로는 위협 수준이 높지 않은 취약점들을 조합해 실제 공격 시나리오를 설계할 수 있는 것으로 나타났다.

그동안 위험도가 낮다고 평가돼 보안 우선 순위에서 밀려났던 취약점들이 AI 분석을 통해 서로 연결되면서 예상치 못한 공격 경로를 만들어낼 수 있다는 사실이 확인된 것이다.

이에 따라 기존에 저위험으로 분류됐던 취약점들도 새로운 위험 요소로 재평가해야 하며, 기업의 취약점 관리 체계도 전면적 재정비가 필요하다는 지적이 나온다.

2일 정보통신업계 취재를 종합하면 전문가들은 AI 시대 기업 보안의 성패가 새로운 위협을 차단하는 데만 있는 것이 아니라, 조직 내부에 누적된 취약점을 체계적으로 관리하고 잠재적 공격 경로를 선제적으로 차단할 수 있는 자동화 역량에 달려 있다고 진단하고 있다.

이들은 오랜 기간 조직 내부에 축적된 취약점을 지속적으로 관리하는 동시에 패치·탐지·분석·대응에 이르는 전 과정을 자동화하고, 이를 아우르는 통합 보안 체계(거버넌스)를 구축하는 것이 핵심 과제라고 강조한다.

곽진 아주대학교 사이버보안학과 교수는 비즈니스포스트에 AI 시대 보안의 핵심 과제로 ‘검증 부채’ 관리의 중요성을 꼽았다.

곽 교수는 “기존에는 위험도가 낮다고 판단된 취약점은 패치나 검증 대기 목록에 넣고 후순위로 미뤄두는 경우가 많았다”며 “이처럼 검증이 필요하지만 시급성이 낮다고 판단돼 남겨진 항목들을 ‘검증 부채’라고 볼 수 있다”고 설명했다.

그는 “검증 부채가 장기간 방치되면 결국 실제 사고로 이어질 수 있는 ‘보안 부채’로 전환된다”며 “대기 목록이나 후순위 목록에 있는 항목들도 반드시 검증하고 패치하는 체계가 필요하다”고 말했다.

곽 교수는 기업들이 새롭게 공개되는 취약점 대응에 집중하는 과정에서 내부에 축적된 취약점의 악용 가능성을 간과할 수 있다고 지적했다.

그는 “기업들은 현재 조직 내 검증 부채와 보안 부채가 얼마나 쌓여 있는지 정확히 측정해야 한다”며 “새로운 취약점에만 집중하다 보면 이미 누적된 취약점들이 실제 공격으로 이어지는 상황을 놓칠 수 있다”고 말했다.

특히 AI가 취약점 분석과 공격 시나리오 생성을 자동화하면서 기업의 보안 역량을 평가하는 기준도 변화해야 한다는 지적이 나온다.

곽 교수는 “이제는 AI로 인해 쏟아져 나올 수많은 취약점을 우리 조직이 감당할 수 있는지 스스로 점검해야 한다”며 “이를 위해서는 검증·보안 부채를 정확히 측정하고, 조직의 환경을 고려해 무엇을 후순위로 둘지, 무엇을 우선적으로 대응할지 결정하는 체계가 필요하다”고 말했다.

이어 “이러한 측정과 우선순위 설정이 실제 의사결정 권한을 가진 경영진의 영역과 연결돼야 하며, 이런 구조가 ‘AI 보안 거버넌스’가 돼야 한다”고 덧붙였다.

보안 업계는 AI가 공격과 방어 양측 모두에서 활용되면서 사이버 보안이 자동화 경쟁 국면으로 진입하고 있다는 분석도 나온다.

김영표 포티넷코리아 정보보호최고책임자(CISO)는 비즈니스포스트에 “AI는 공격자와 방어자 모두에게 강력한 도구가 되고 있다”며 “공격이 자동화되는 만큼 방어도 자동화하지 않으면 대응 속도를 따라가기 어려운 환경이 될 것”이라고 말했다.

그는 동일한 취약점이라도 기업의 보안 체계 수준에 따라 실제 위험성은 크게 달라질 수 있다고 설명했다.

김 CISO는 “네트워크 세분화, 접근통제, 제로 트러스트 등 기본 보안 체계가 잘 구축된 기업은 공격자 입장에서 우선순위가 낮아질 수 있다”며 “AI는 새로운 취약점을 만들어내기보다 공격 성공 가능성이 높은 기업과 경로를 훨씬 빠르게 식별하는 방향으로 활용될 가능성이 높다”고 말했다.

이어 “공격자들이 AI를 활용해 공격 효율을 극대화할수록 기업들은 자산 구조와 보안 아키텍처를 고려한 선제적 방어 역량을 강화해야 한다”며 “위협 인텔리전스, 다크웹 모니터링, 외부 보안 전문기업과 협업을 통해 공격 징후를 조기에 탐지하는 체계가 중요해질 것”이라고 말했다.

AI가 새로운 위협을 만들어낸 것이 아니라, 기존 취약점 악용의 속도와 효율성을 높이고 있다는 진단도 나왔다.

AI 확산으로 공격에 필요한 비용과 시간이 크게 줄어들면서 전문 지식이 부족한 공격자도 다양한 공격 도구를 활용할 수 있는 환경이 조성되고 있다는 것이다.

박춘식 서울여자대학교 정보보호학과 교수는 비즈니스포스트와 통화에서 “과거에도 취약점으로 인한 피해 사례는 적지 않았지만, 상당수는 사고가 발생한 이후에야 취약점의 존재가 확인됐다”며 “AI 시대에는 취약점을 찾아내고 공격 경로를 설계하는 속도가 크게 빨라진 만큼, 기업들도 대응 체계를 근본적으로 재정비해야 한다”고 말했다.

박 교수는 “기본적 보안 수칙만 충실히 지켰더라도 상당수 피해는 예방할 수 있었을 것”이라며 “새로운 기술 도입에만 집중할 것이 아니라 취약점 패치의 신속화와 자동화를 제도적으로 정착시키는 게 우선”이라고 말했다.

이어 “소프트웨어 자재명세서(SBOM)를 통해 사용 중인 소프트웨어 구성요소와 취약점을 체계적으로 관리하고, 제로 트러스트와 데브섹옵스(DevSecOps)를 도입해 개발 단계부터 보안을 내재화해야 한다”며 “사람이 일일이 대응하기 어려운 만큼 취약점 관리와 패치 체계를 자동화하는 방향으로 전환할 필요가 있다”고 말했다.

전문가들은 AI 시대 사이버 위협에 효과적으로 대응하기 위해서는 기업의 보안 체계 정비와 함께 국가 차원의 대응 역량 강화도 병행돼야 한다고 입을 모은다.

염흥열 순천향대학교 정보보호학과 명예교수는 “취약점 및 위협 정보를 민간에 신속히 공유하는 것이 중요하다”며 “정부가 운영하는 사이버 위협정보 공유시스템(C-TAS) 활용을 확대하고 국내 독자 보안 AI 개발도 검토해야 한다”고 말했다.

박춘식 서울여자대학교 정보보호학과 교수는 “기본적 보안 체계를 먼저 구축해 급한 불부터 끄는 노력이 필요하다”면서도 “국가 차원에서는 AI 기반 사이버보안 대응 전략을 범부처 차원에서 종합적으로 추진할 필요가 있다”고 말했다. 조승리 기자